Във връзка с актуалния (и пореден) скандал за злоупотребата с лични данни на български граждани, за целите на различни политически партии, новоизбраният председател на Комисията за защита на лични данни г-н В. Караджов “увери, че администраторите на лични данни ще бъдат подложени на допълнителен контрол”.
Това ми дава повод отново да напомня, че всички лечебни заведения са администратори на лични данни. Това е тема, за като активно пиша и презентирам на редица обучения и лекции. Констатацията, която мога да направя е, че все още има лечебни заведения, които сериозно подценяват проблема с личните данни, които събират и съхраняват.
Лечебните заведения като администратори на лични данни
Лечебните заведения – администратори на лични данни
Един бърз поглед в регистрите на Комисията за защита на личните данни показва, че:
1. вписаните, като администратори на лични данни, лечебни заведения са малко предвид огромния брой регистрирани лечебни заведения
2. има немалък брой лечебни заведения, чиято регистрация подлежи на актуализация
Какво означа всичко това? В момента, в който КЗЛД реши да затегне контрола върху личните данни и започне съответните проверки – лечебните заведения без регистрация или с неправилна такава – ще бъдат санкционирани.
Санкцията за администратор, който не изпълни задължението си за регистрация е от 1 000 до 10 000 лева. Предвид факта, че лечебните заведения събират т.нар. “чувствителни лични данни” (медицинските данни) за тях санкцията е още по-висока.
Аптеките – администратори на лични данни
Не само лечебните заведения, но явно и НЗОК има проблем с процедурата по регистрация като администратор на лични данни.
В ДВ 30/01.04.2014 са обнародвани Условия и ред за сключване на договори за отпускане и заплащане на лекарствени продукти по чл. 262, ал. 6, т. 1 от Закона за лекарствените продукти в хуманната медицина, на медицински изделия и на диетични храни за специални медицински цели, заплащани напълно или частично от НЗОК. Съгласно чл. 1, ал.2, т.6 от цитираните Условия всеки кандидат за сключване на договор с НЗОК трябва да е „регистриран като администратор на лични данни по Закона за защита на личните данни или да е в процедура по регистрация – за кандидат с разрешение за търговия на дребно с лекарствени продукти, издадено не по-рано от 1 година от датата на подавaне на заявлениe за сключване на договор с НЗОК„.
Освен, че трудно успявам да осмисля, така заложеното изискване, то е и в противоречие със закона и практиката по защита на личните данни.
1. Обстоятелството, че всички аптеки са администратори на лични данни е безусловно. И аптеките, както и лечебните заведения събират, обработват и съхраняват “чувствителни лични данни”, което ги прави администратори на лични данни под особен контрол. И в тази връзка, напълно резонно е НЗОК да поставя условие аптеките, кандидатстващи за договор да бъдат регистрирани като администратори на лични данни – т.е. да са спазили закона. Защо реципрочно изискване не се поставя към изпълнителите на медицинска / дентална помощ е друг въпрос.
2. Недоумение буди предоставената от НЗОК възможност, за аптеките, които нямат регистрация “да са в процедура по регистрация”. Законът за защита на личните данни категорично забранява обработването на лични данни от администратори, които нямат регистрация (виж санкциите по-горе). Изискванията на закона явно не са пречка за НЗОК да приеме за еднакво допустимо както “регистрираните администратори”, така и не приключилите процедури по регистрация.
3. Възможността “да са в процедура по регистрация” важи единствено за аптеките, които са получили своето разрешение за търговия на дребно с лекарствени продукти, издадено не по-рано от 1 година (???) от датата на подавaне на заявлениe за сключване на договор с НЗОК. Каква е логиката на подобен “либерален подход”? За мен логика няма, но предоставянето на подобна възможност ме кара да се замисля за професионализма на автора/ите на указанията. И да се запитам – запознати ли са изобщо материята за защитата на личните данни?
Въпреки казаното имам някакво обяснение, за предоставената на аптеките, макар и в противоречие със закона възможност (!!!). Беше време когато процедурите по регистрация на администраторите на лични данни отнемаха месеци и години …. Ситуацията понастоящем е коренно променена и регистрацията, вкл. и утежнената процедура за аптеки и лечебни заведения, отнема не повече от 2 месеца, понякога и значително по-малко. Но може да знаеш това само ако си правил подобни процедури, познаваш измененията в законодателството и актуализираш своите знания.
2 comments
iazsamotrusi
Чл. 17. (Изм. – ДВ, бр. 103 от 2005 г., изм. – ДВ, бр. 91 от 2006 г.)
(3) Администраторът може да започне обработване на данните след подаване на заявлението за регистрация.
Мария Радева
Това е цитат от ЗЗЛД.